在CloudFlare，我们构建了世界上最大的网络之一，旨在保护我们的客户免受各种攻击。我们非常擅长这一点，以至于攻击者越来越多地寻找绕过我们的方法，而不是穿过我们。高知名度客户面临的最大风险之一是在注册商处他们的域名被盗。2013年，当《纽约时报》的域名被劫持时，我们对这个问题非常熟悉，该报的首席技术官向我们伸出援助之手，帮助我们找回它。我们能够提供帮助，但报纸的网络和电子邮件流量改变了几个小时。自从《纽约时报》域名被劫持以来，其他一些网站的域名也被盗了。我们自己也曾多次尝试控制CloudFlare的注册帐户。谢天谢地，没有一个成功，但有些已经接近了我们所能接受的范围。考虑到风险，我们开始寻找一个我们可以信任的安全协议的注册商。注册处及注册人简史在互联网的早期，域名注册是免费的。随着互联网的发展，对域名注册的需求激增。1993年，由于无法跟上需求，InterNIC（负责全球域名注册的准政府组织）将注册的责任移交给了一家名为Network Solutions的私营公司。最初，网络解决方案在管理注册中心时继续提供免费的域注册。然而，1995年，InterNIC授权公司每两年注册收取100美元的费用。这有效地将所提供的服务网络解决方案一分为二：注册表：管理全局域列表的部分。注册器：允许个人和组织向列表中添加域的部分。到1998年，为注册人创造一个竞争性市场的压力很大。networksolutions被迫修改合同，允许多个注册者将域添加到全局注册表中。1999年11月30日，新系统启动，多个注册商在很大程度上竞争价格。在接下来的十年里，域名注册的价格迅速下降。今天，大多数登记员都是批量操作。虽然这使得域名注册变得民主化，但它并没有对高安全性系统的投资起到什么作用。有几家证券公司试图将自己与一对注册商区分开来。一般来说，他们的主要业务不是安全，而是其他的事情，比如知识产权盗窃检测。在我们为CloudFlare的域寻找一个高安全性的注册商时，我们没有找到任何符合我们标准的注册商。而且，值得注意的是，《纽约时报》在其域名被劫持时，使用了其中一个本应以安全为重点的注册器。域名在注册处被劫持域名劫持在注册商通过欺骗注册商改变域名服务器或与域名相关联的标题信息来工作。注册商将更改推送到注册中心，之后整个互联网都将这些更改视为权威。在最坏的情况下，攻击者甚至可以将域移动到新的注册器，这使得恢复过程更加困难。注册安全的根本问题是域归组织所有，但全局注册基础设施是为个人设计的。对于高知名度的域名，像密码这样的常规安全控制是行不通的，因为员工（拥有密码的人）最终会离开，但这个域名总是留在公司。此外，大多数注册器允许任何特权用户悄悄删除帐户的安全设置没有双人规则。这意味着任何有权访问您的注册帐户的人都可以劫持您的域并将其指向他们想要的任何IP地址，不管是攻击者破坏了您的帐户还是流氓员工。一旦域被劫持，你唯一的办法就是向你的注册商（如果攻击者成功地切换了注册商，现在控制域的注册商）上诉，希望他们做正确的事情。如果这不起作用，你就得直接向ICANN提出法律投诉。这个过程可能需要几周到几个月的时间，同时，访问你的域的人会被引导到一个你无法控制的web服务器上。提高注册安全的门槛解决方案是一个高接触，仅离线更改策略。在着手寻找安全的注册商时，我们定义了以下安全要求：一致使用注册锁注册表锁的一致使用多用户，脱机确认所有DNS更改对所有注册帐户强制实施双因素身份验证支持DNSSEC许多注册器支持registrator锁，这可以防止注册中心更改信息，除非显式删除锁。如果注册人想修改你的账号，他们可以做出任何改变。注册表锁阻止任何注册器进行更改，直到锁被删除。在注册表级别解锁需要注册器和Verisign（多个顶级域的全局注册表操作员）之间的带外通信，因此非常手动。由于大多数注册器都是批量操作，所以很难找到一个在每次有人更改其DNS设置时都花时间拿起电话并呼叫Verisign的注册器。成为ICANN认证的注册商大约一年前，我们得出的结论是，找到一个符合我们安全标准的登记员的唯一途径就是自己成为一个。所以，我们就是这么做的。今天，CloudFlare的所有关键域都是通过我们自己的ICANN认证注册商注册的。任何变更都依赖于严格的变更控制流程。今天，我们向企业级客户开放CloudFlare Registrator。所有关心最高级别域注册器安全性的企业客户都可以使用该服务。我们的域名注册服务的第一批用户包括dwolla.com网站以及nasdaqprivatemarket.com网站.CloudFlare注册商：安全与安心CloudFlare registrator自动实现注册器和注册表锁，以限制对域的未授权更改。我们将域锁定到CloudFlare的DNS，并要求在任何CloudFlare注册帐户上实施双因素身份验证。在进行任何传输之前，我们需要来自多个独立来源的在线和离线确认。而且，我们可以定制授权流程，以便与客户的变更控制系统集成。例如，如果您的组织需要来自安全、工程和法律部门的独立授权用户来批准域传输，则CloudFlare registrator可以这样做。此外，当所有CloudFlare注册域的注册期限不到一年时，我们将自动续订这些域。这意味着域永远不会过期，无论发生什么。CloudFlare注册商和环球DNSSECCloudFlare registrator保护域不被注册表劫持，但它们仍然容易受到DNS on-path攻击。通用DNSSEC通过使用加密签名对域的所有DNS查询进行身份验证，增加了一个额外的安全层。在CloudFlare既是域名注册商又是域名域名域名提供商的情况下，我们可以无缝地交付DNSSEC。因此，默认情况下，所有CloudFlare Registrator客户都将自动启用DNSSEC。域和注册器安全工具好奇你自己的域名有多安全？查看我们的域名和注册安全工具，根据5个最佳实践对您的域名进行评级：注册表锁、注册锁、角色帐户、宽大的过期窗口和DNSSEC。为了安全意识，而不是大众CloudFlare注册器不是为大众设计的。有很多伟大的大众市场登记员。但是，如果您是一个组织，丢失您的域将成为头版新闻，那么CloudFlare registrator将适合您。如果您是CloudFlare enterprise的现有客户，请联系您的专用客户经理以开始使用CloudFlare Registrator。如果您还不是CloudFlare的客户，请与我们的销售团队联系，我们可以帮助您完全锁定您的域。